пользовательский параметр sql, используя предложение IN в gridview - C #

Question

Когда я разместил следующий SQL-запрос,

SELECT
   [ItemID], [Name], [RelDate], [Price], [Status] 
FROM 
   [item_k] 
WHERE 
   [ItemID] IN (" + itemIDs + ")

в пользовательских выражениях sql gridview преобразуется в

SELECT 
   ItemID, Name, RelDate, Price, Status   
FROM 
   item_k 
WHERE 
   (ItemID IN ([ + itemIDs + ]))

и при выполнении запроса появляется следующая ошибка

SQL Execution Error
Invalid column name '+ itemIDs+'

в чем проблема?

спасибо

Answer 1

Проблема с вашим методом string concat заключается в том, что он может сделать вас уязвимым для SQL-инъекций. Я не пытался бы исправить этот подход, но пошел бы для параметризованного запроса, который не требует конкатенации строк.

Answer 2

Вы пытались поместить + itemIDs + в одинарные кавычки?

Answer 3

SELECT [ItemID], [Name], [RelDate], [Price], [Status] FROM [item_k] WHERE [ItemID] IN (' + itemIDs + ')

изменил "на", и это сработало!